Aspekty prawne wykorzystania Robotic Process Automation

Robotic Process Automation (RPA) zyskuje na popularności i znaczeniu w gospodarce, szczególnie w branży outsourcingowej. Potencjał tych rozwiązań jest tak duży, że z pewnością pojawią się one także w innych branżach (w tym finansowej, prawnej, księgowej, HR). Jednakże warto zwrócić uwagę na specyficzne problemy prawne, jakie wiążą się z wykorzystaniem RPA.

RPA – definicja
Dość popularna definicja uznaje RPA za ogół rozwiązań programistycznych (konfiguracja oprogramowania lub specjalny program – „robot”), za pomocą których pracownicy firmy mogą uruchamiać i kontrolować procesy, zarządzać danymi i komunikować się z innymi systemami informatycznymi (w tym aplikacjami). Przykładem bardzo prostego wykorzystania robota RPA może być rozwiązanie, gdzie robot zapisuje, kategoryzuje i otwiera pliki PDF z zeskanowanymi fakturami, a następnie eksportuje dane do pliku Excel – tworząc jednocześnie sumaryczne zestawienie kosztów i generując treść do poleceń przelewu.

Systemy RPA dają wiele korzyści, które powodują rosnącą popularność tych rozwiązań w różnych branżach – między innymi są to:
• obniżenie kosztów (nawet w stosunku do 80% w porównaniu do tych samych czynności wykonywanych manualnie),
• szybkość i łatwość wdrożenia RPA – w porównaniu do czasu i trudności związanych ze zwiększaniem zasobów ludzkich,
• praca RPA w systemie „24 godziny dziennie / 7 dni w tygodniu / 365 dni w roku”,
• większa szybkość procesów,
• większa dokładność i jakość – wskutek zmniejszenia ilości błędów ludzkich,
• zmniejszenie ryzyka funkcjonowania firmy (np.: automatyczne systemy compliance).

Na chwilę obecną automatyzacja sprawdza się dobrze w przypadku czynności powtarzalnych, występujących w dużych ilościach i dający się łatwo zdefiniować (standaryzować). W przyszłości jednak, wraz z rozwojem technologii sztucznej inteligencji, twórcy systemów RPA mogą sięgać po bardziej skomplikowane czynności.

Najczęstsze konstrukcje prawne w zakresie RPA
W praktyce mamy najczęściej do czynienia z jednym z trzech następujących rozwiązań:
1) umowa zlecenia, gdzie zamawiający zleca wykonawcy, by ten, korzystając z technologii RPA, wykonał automatyzację określonych czynności zamawiającego („outsourcing RPA”),
2) rozwiązanie licencyjne – gdzie zespół wewnętrzny wykorzystuje konkretne rozwiązanie RPA, do którego firma nabyła licencję na użytkowanie,
3) rozwiązanie „in house” – gdzie zespół wewnętrzny tworzy i potem użytkuje konkretne rozwiązanie RPA, bez konieczności pozyskiwania z zewnątrz praw do korzystania z tego rozwiązania (wykorzystywane, na przykład, w firmach z sektora BPO).

Rodzaj przyjętego w danym wypadku rozwiązania determinuje problemy prawne, jakie mogą pojawić się w praktyce – niemniej, w każdym rozwiązaniu pewne pytania są nie do uniknięcia. Zawsze wskazane jest rozważenie:
• jakie dane będzie “przetwarzał” robot – w szczególności, czy z danymi tymi nie wiążą się szczególne obowiązki prawne (np.: dane objęte tajemnicami zawodowymi, dane osobowe),
• czy branża, w której ma zostać wykorzystany system RPA, jest przedmiotem regulacji (jak, np.:, sektor finansowy, energetyczny, medyczny),
• czy istnieje ścieżka działania w przypadku awarii systemu RPA,
• jakie są najbardziej prawdopodobne „czarne scenariusze” i ich potencjalne konsekwencje – jak zarządzić ryzykiem ich wystąpienia,
• jaki schemat czynności i działań ma zostać wykorzystany w danym systemie RPA,
• zakres obowiązków i uprawnień osób zaangażowanych w funkcjonowanie systemu.

Na chwilę obecną nie ma w Europie (ani też w Polsce) szczególnych przepisów prawnych, odnoszących się stricte do wykorzystania RPA – zastosowanie mają przepisy obowiązujące ogólnie w odniesieniu do sytuacji wykorzystania rozwiązań informatycznych do realizacji procesów biznesowych. Duże znaczenie mają w praktyce regulacje wewnętrzne związane ze stosowaniem RPA – procedury, schemat organizacyjny, zasady działania w sytuacjach awaryjnych itp.

Ważne zagadnienia kontraktowe
W przypadku rozwiązania „in house” kwestie kształtu umowy związanej z korzystaniem z RPA nie mają tak istotnego znaczenia, jak w przypadku dwóch pozostałych rozwiązań – niemniej, nawet w tym wypadku konieczne jest sprawdzenie, czy zastosowanie systemu RPA nie wpływa na istniejące umowy (np.: umowy powierzenia przetwarzania danych osobowych), jak również, czy firma skutecznie nabyła prawa autorskie od twórców systemu, będących pracownikami/współpracownikami firmy stosującej wewnętrznie RPA.

Znacznie więcej pozostaje do przemyślenia, jeśli chodzi o zapisy umowne, w przypadku:
a) umowy zlecenia – „outsourcing-u RPA”, oraz
b) rozwiązania licencyjnego.

– „outsourcing RPA”
W tym wariancie warto przyjąć raczej perspektywę charakterystyczną dla umów zlecenia wykonania określonych usług lub umów outsourcingu – wykonawca w praktyce dostarcza usługę funkcjonowania systemu RPA. Z tego względu nie bez znaczenia są kwestie takie jak:
• zakres usług i związane z nimi świadczenia wykonawcy,
• kryteria zachowania jakości i jej mierniki, jak również odpowiedzialność za brak zachowania umówionych poziomów jakości,
• zakres obowiązków wykonawcy w przypadku poważnej awarii systemu RPA,
• zasady i możliwość wycofania systemu RPA (przejście na inny system lub pracę manualną),
• zasady adaptacji i rozwoju danego systemu RPA,
• kwestia praw własności intelektualnej do utworów stworzonych w związku z budową lub adaptacją systemu,
• kwestia praw do oprogramowania wykorzystywanego w funkcjonowaniu danego systemu RPA (kto jest dysponentem licencji/praw do takiego oprogramowania, czy funkcjonowanie systemu RPA może doprowadzić do naruszenia takich licencji/praw),
• wyłączność w świadczeniu usług (zakaz świadczenia usług konkurentom zamawiającego),
• kwoty i sposób ustalenia wynagrodzenia wykonawcy,
• odpowiedzialność za brak funkcjonowania lub nienależyte funkcjonowanie systemu,
• procedura zmiany świadczonych usług.

– rozwiązanie licencyjne
W takim przypadku ważne są takie zagadnienia jak:
• rodzaj udostępnienia możliwości korzystania z oprogramowania
• zakres licencji – ewentualne ograniczenia przedmiotowe, ilościowe lub czasowe,
• czas trwania licencji,
• możliwość udzielania dalszych licencji i jej przenoszenia,
• kwestia zmian i adaptacji systemu (prawa zależne),
• rodzaj platformy programistycznej lub rozwiązań własnych licencjodawcy (kwestia utrzymania, aktualizacji i rozwoju oprogramowania bazowego),
• skuteczność nabycia przez licencjodawcę praw własności intelektualnej i przemysłowej,
• należności licencyjne,
• wyłączność na korzystanie z rozwiązań składających się na dany system RPA,
• odpowiedzialność za wady i usterki oprogramowania,
• możliwość i zakres korzystania ze wsparcia technicznego,
• odpowiedzialność za naruszenie praw osób trzecich.

W istocie zatem mamy tu do czynienia z problemami często obecnymi w „standardowych” umowach licencyjnych na oprogramowanie – jednakże warto pamiętać, iż w praktyce bardzo duże znaczenie ma kwestia wsparcia technicznego (systemy RPA bardzo często są na bieżąco ulepszane lub zmieniane) oraz kwestia oprogramowania bazowego (np.: platformy takie jak Blue Prism, UIPath). Pomimo licencyjnego modelu w tym wariancie kwestia niezakłóconego działania systemu RPA oraz możliwości jego ciągłego modyfikowania wybija się zdecydowanie na pierwszy plan.

Podsumowując zatem, uwzględnienie specyfiki działania systemów RPA i zabezpieczenie kluczowych ryzyk (charakterystycznych dla RPA) pozwoli na efektywne i sprawne wykorzystanie tych systemów, z pożytkiem dla efektywności firmy i podejmowanych przez nią procesów biznesowych.

Przemysław Wierzbicki
Adwokat

Prawnik zaangażowany w projekt Nowy Wymiar Prawa – www.nowywymiarprawa.pl; partner w Kancelarii KKLW – www.kklw.pl.